Comme déjà présenté à la CNIL à plusieurs reprises et jusque dans notre lettre ouverte, nous constatons et nous opposons farouchement à des collusions de plus en plus flagrantes entre la CNIL et les Responsables de Traitement dont elle est supposée sanctionner et non aider à maintenir les manquements.
Par exemple la CNIL tient une keynote menée par la responsable du département secteur économique de la CNIL et introduite par le trésorier et chargé des affaires publiques de l’IAB, un des plus gros consortiums publicitaires d’Europe, à de multiples reprises condamnés par d’autres autorités de contrôle voire la CJUE.
De même le GESTE, un des plus gros groupements d’éditeurs de service en ligne, maintenant des traitements manifestement illicites au travers de bandeaux cookies illégaux, n’hésite pas à publier des photos prises lors d’un évènement qu’il organise, d’une intervention de Marie-Laure Denis, Présidente de la CNIL, intitulé « évolution de la donnée dans les médias : point d’équilibre ».
Ici enfin encore avec le DMA, une association « Data et Marketing », au travers de déjeuner avec la Présidente de la CNIL ou sa participation prochaine au « Forum du Marketing Digital ».
Autant il pourrait être effectivement intéressant pour la CNIL de participer à ce type d’évènements si ceci avait pour objectif réel d’alerter les responsables de traitement présents sur l’illégalité chronique des finalités mises en œuvre derrière ces traitements, comme reconnu par diverses condamnations d’Autorités de Protections des Données en Europe et à plusieurs reprises (bannière cookie illicite, co-responsabilité de traitement niée, revente de données non encadrée, défaut d’information, interdiction de la publicité ciblée sous le régime de l’intérêt légitime, etc). Le contenu même des interventions de la CNIL ne va pas du tout dans ce sens et relève en pratique plus d’un soutien à ces responsables de traitement pour maintenir leurs pratiques.
Notre Association s’alarme donc non seulement de l’absence de neutralité de la CNIL, mais même au contraire d’un parti pris clairement affiché et assumé, contraire aux missions même de la CNIL de défendre les Personnes Concernées et de garantir un haut niveau de protection de leurs données à caractère personnel et de leur droit à la vie privée.
Ce type de collusion avait déjà été remonté à plusieurs reprises, jusqu’à l’apothéose où la CNIL travaillait directement avec l’un des plus gros trafiquants de données à caractère personnel en France, Valiuz, alors qu’elle était dans le même temps saisie d’un nombre important de signalements concernant les violations mises-en-œuvre à une échelle industrielle par cette société. La CNIL ne changera pas ses pratiques et au contraire trouvera des sénateurs pour faire modifier la loi et ne plus avoir à communiquer sur ces « accompagnements », tout en ne sanctionnant jamais les manquements de Valiuz.
La CNIL va jusqu’à mener des « concertations » privées, par exemple avec l’Alliance du Commerce, la Fédération Nationale de la Presse d’information Spécialisée, ou Alliance Digitale. Concertations dont personne ne semble avoir publiquement connaissance sinon des entités hautement en conflit d’intérêt.
L’objectif de ces rencontres a même explicitement et officiellement vocation à contourner des positions claires du CEPD sur l’illicéité des traitements en question, quitte à mentir ensuite aux Personnes Concernées et aux Responsables de Traitement en prétextant des travaux inexistants du CEPD.
Lorsque notre Association a demandé à de nombreuses reprises à pouvoir participer à ces échanges informels et privés de la CNIL, son directeur de l’accompagnement juridique nous a informé que les participants était « invités » par elle « en fonction de l’objet de chaque concertation » et qu’elle « devait limiter le nombre d’acteurs sollicités afin d’assurer la bonne tenue et l’efficacité des débats ». Le fait que seuls des lobbies de la publicité et du marketing semblent avoir été conviés à ce type de concertations en dit long sur les priorités d’invitation par la CNIL. Si vous représentez les Personnes Concernées, vous êtes manifestement dans le bas de la pile.
Sur une question aussi sensible que les liens traçants dans les emails, pourtant explicitement interdits sans consentement par le CEPD, il ne semble en tout cas qu’aucun représentant de la société civile n’ait été convié, malgré l’existence de personnes compétentes facilement identifiables par la CNIL puisque responsables de dizaines de plaintes pour ce motif auprès de notre Autorité de Contrôle.
Une autre publication a particulièrement attiré notre attention.
Celle-ci soulève qu’il s’agit de rencontres planifiées et régulières, ici au moins semestrielles. Une telle porosité de la CNIL par des lobbies n’est manifestement pas compatible avec a minima la neutralité à laquelle la CNIL est supposée s’astreindre, mais encore plus avec la mission principale de la CNIL qui reste de défendre les droits des Personnes Concernées, et non ceux des Responsables de Traitement. Il est aussi incompréhensible qu’avec des rencontres aussi fréquentes aucune avancée n’ait été constatée en 8 ans. Les entités en question violant toujours frontalement le RGPD sur des sujets pourtant importants et faisant l’objet d’une jurisprudence constante (dépôt de cookie sans consentement, bannières cookies déceptives, prospection commerciale sans consentement…) voire de décisions importantes intervenues entre temps.
Comme présenté déjà dans notre lettre ouverte, nous ne comprenons pas qu’aucune sanction n’ait encore été réellement rendue sur ces sujets alors que la CNIL ne peut pas ignorer les manquements de responsable de traitement qu’elle rencontre plusieurs dizaines de fois par an. Ou plutôt si. Nous le comprenons fort bien…
Le même problème de dédain des Personnes Concernées se retrouve dans les journées RGPD organisées par la CNIL.
Y est invité le DPO de France Travail concerné par une fuite de données monumentale et ayant donc manifestement échouer à mettre en conformité son Responsable de Traitement, étant aussi incapable de répondre en plus de 10 mois à des demandes d’accès dont notre Association a connaissance, manquements dont la CNIL est elle-même saisie aux travers de réclamations et pour lesquelles elle a déjà prononcé de multiples sanctions et rappels à la loi, toujours non suivis d’effets.
Il est aussi intéressant de noter le vocabulaire employé par la CNIL dans ses communications publiques.
Le « point d’équilibre » mentionné dans l’intervention précédente auprès du GESTE peut interroger, sachant les différentes condamnations rendues sur le sujet et montrant que l’équilibre est loin d’être atteint mais au contraire actuellement très en défaveur des Personnes Concernées.
De même pour le « construire la confiance dans un écosystème en mutation », techno-babillage abscons qui aurait plutôt dû être rédigé « la confiance impossible dans un écosystème manifestement illicite ».
Nous sommes aussi heureux de constater la haute considération dont la CNIL fait preuve à l’égard des différentes plaintes déposées par les Personnes Concernées, prévues par le RGPD comme étant des actes forts visant à garantir la protection de leurs droits et considérés comme tels par la CJUE. Elles sont réduites par la CNIL à des « occasions manquées » et à des « opportunités », lors d’une intervention d’agents régulièrement en contact avec les Personnes Concernées. Ces intervenants, chef·fe·s du service de l’exercice des droits et des plaintes, sont pourtant en première ligne pour constater les dégâts causés par notre Autorité de Contrôle, avec leur signature en bas de décisions de clôture sans queue ni tête faisant suite à des instructions risibles conduites par la CNIL, et relevant en pratique plus d’une insulte à l’intelligence des plaignants que d’une réelle volonté de mettre un terme aux manquements. Il est ici nécessaire de rappeler encore une fois que notre Association ne préjuge en rien des compétences de ces personnes et que nous ne critiquons bien évidemment que l’administration derrière et les décisions rendues, et non les agents eux-mêmes, qui ne font que ce qu’on leur demande de faire.
Ces formulations, plus que très déplacées, relèvent encore une fois du problème chronique de déni et d’une Autorité de Contrôle gangrenée par des processus administratico-politiques ne cherchant à aucun moment à protéger les Personnes Concernées mais à faire perdurer des manquements pour des motifs politiques, économiques et mercantiles.
Notre Association demande une nouvelle fois à notre Autorité de Contrôle de sortir du déni dans lequel elle se trouve et de respecter ses missions apportées par le RGPD et surtout les Personnes Concernées qu’elle est supposée défendre.